(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210930356.X (22)申请日 2022.08.03 (71)申请人 中国电信股份有限公司 地址 100033 北京市西城区金融大街31号 (72)发明人 黄荣谞　沈平　黄劲翔　邓宗元　 宋明　钱超　张龙深　屠鹏　 (74)专利代理 机构 北京润泽恒知识产权代理有 限公司 1 1319 专利代理师 莎日娜 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) (54)发明名称 弱口令探测方法、 装置、 电子设备和存储介 质 (57)摘要 本发明实施例提供弱口令探测方法、 装置、 电子设备和存储介质， 该方法包括： 基于资产探 测指示信息， 探测网络信息资产； 资产探测指示 信息包括网络协议， 和/或， ACL配置信息和路由 配置信息， 和/或， 防火墙的NAT配置信息， 和/或， 流量分析； 网络信息资产包括IP地址、 端口、 应用 服务； 探测IP地址、 端口、 应用服务中是否存在弱 口令； 若是， 则进行弱口令 预警。 本发明实施例通 过融合网络协议、 A CL配置信息和路由配置信息、 防火墙的NAT配置信息、 流量分析， 实现网络信息 资产的探测， 其中， 配置信息可 以针对实际生产 环境进行资产探测， 从而提升资产覆盖面， 加强 资产的探测深度， 有效提升资产发现覆盖面和发 现能力。 权利要求书3页 说明书24页 附图5页 CN 115412302 A 2022.11.29 CN 115412302 A 1.一种弱口令 探测方法， 其特 征在于， 所述方法包括： 基于资产探测指示信息， 探测网络信息资产； 所述资产探测指示信息包括网络协议， 和/或， 访问控制列表ACL配置信息和路由配置信息， 和/或， 防火墙的网络地址转换NAT配置 信息， 和/或， 流 量分析； 所述网络信息资产包括互联网协议 IP地址、 端口、 应用服 务； 探测所述 IP地址、 端口、 应用服 务中是否存在弱口令； 若是， 则进行弱口令预警。 2.根据权利要求1所述的方法， 其特征在于， 所述基于资产探测指示信息， 探测网络信 息资产， 包括： 当所述资产探测指示信息为网络协议时， 判断是否需要探测全量网络信息资产； 若是， 则加载规划的网络信息资产； 所述 规划的网络信息资产包括 IP地址； 将与黑名单网络信息资产IP库匹配的IP地址进行剔除； 采用剔除后的IP地址， 探测网络信息资产。 3.根据权利要求1所述的方法， 其特征在于， 所述基于资产探测指示信息， 探测网络信 息资产， 包括： 当所述资产探测 指示信息为ACL配置信息和路由配置信息时， 获取ACL配置信息和路由 配置信息； 所述ACL配置信息和路由配置信息包括 IP地址； 判断是否需要探测全量网络信息资产； 若是， 则将与黑名单网络信息资产IP库匹配的IP地址进行剔除； 采用剔除后的IP地址， 探测网络信息资产。 4.根据权利要求2或3所述的方法， 其特征在于， 所述采用剔除后的IP地址， 探测网络信 息资产， 包括： 针对剔除后的IP地址进行存活性检测； 将存活的IP地址 输出为存活的IP地址清单； 将所述存活的IP地址清单与已有的网络信息资产IP库进行匹配； 根据匹配结果， 探测网络信息资产。 5.根据权利要求4所述的方法， 其特征在于， 所述根据匹配结果， 探测网络信息资产， 包 括： 当所述匹配结果为所述存活的IP地址清单与所述已有的网络信息资产IP库一致时， 针 对所述已有的网络信息 资产IP库中的IP地址， 依次进行端口扫描、 服务扫描， 获得所述IP地 址对应的端口、 应用服 务； 将所述IP地址、 端口、 应用服 务确定为网络信息资产。 6.根据权利要求4所述的方法， 其特征在于， 所述根据匹配结果， 探测网络信息资产， 包 括： 当所述匹配结果为所述存活的IP地址清单多于所述已有的网络信息资产IP库时， 采用 所述存活的IP地址清单中多出的IP地址， 更新所述已有的网络信息资产IP库； 针对更新后的已有的网络信息资产IP库中的IP地址， 依次进行端口扫描、 服务扫描， 获 得所述IP地址对应的端口、 应用服 务； 将所述IP地址、 端口、 应用服 务确定为网络信息资产。 7.根据权利要求4所述的方法， 其特征在于， 所述根据匹配结果， 探测网络信息资产， 包权　利　要　求　书 1/3 页 2 CN 115412302 A 2括： 当所述匹配结果为所述存活的IP地址清单少于所述已有的网络信息资产IP库时， 检测 ACL访问权限的状态； 若所述ACL访问权限处于未开 通状态， 则更新所述ACL访问权限的状态； 基于更新后的ACL访问权限， 针对所述已有的网络信息资产IP库中的IP地址， 依次进行 端口扫描、 服 务扫描， 获得 所述IP地址对应的端口、 应用服 务； 将所述IP地址、 端口、 应用服 务确定为网络信息资产。 8.根据权利要求7所述的方法， 其特征在于， 所述若所述ACL访问权限处于未开通状态， 则更新所述ACL访问权限的状态， 包括： 若所述ACL访问权限处于未开通状态， 则确定是否自动化更新所述ACL访问权限的状 态； 若是， 则将所述存活的IP地址清单中少出的IP地址， 与已有的网络信息资产库进行匹 配， 以确定所述少出的IP地址对应的设备； 所述设备包括主机设备和网络设备； 针对所述主机设备， 采用自动化运维工具ansible， 或者登录脚本， 或者代理程序 agent， 进行ACL配置的下发， 以放 通所述ACL访问权限； 针对所述网络设备， 将支持网络配置netconf协议的网络设备标记为第一网络设备， 以 及将不支持网络配置netco nf协议的网络设备 标记为第二网络设备； 针对所述第一网络设备， 采用所述netconf协议， 或者登录脚本， 进行ACL配置 的下发， 以放通所述ACL访问权限； 针对所述第二网络设备， 采用登录脚本， 进行ACL配置的下发， 以放通所述ACL访问权 限。 9.根据权利要求1所述的方法， 其特征在于， 所述基于资产探测指示信息， 探测网络信 息资产， 包括： 当所述资产探测 指示信息为防火墙的NAT配置信息时， 获取防火墙的NAT映射配置的五 元组信息； 所述 五元组信息包括源IP地址、 源服务端口、 目的IP地址、 目的服务端口、 服务协 议； 从所述五元组信息中提取目的IP地址、 目的服 务端口、 服 务协议； 将所述目的IP地址、 目的服 务端口、 服 务协议确定为网络信息资产。 10.根据权利要求1所述的方法， 其特征在于， 所述基于资产探测指示信 息， 探测网络信 息资产， 包括： 当所述资产探测指示信息为流量分析时， 获取通信流量中的五元组信息； 所述五元组 信息包括源IP地址、 源服 务端口、 目的IP地址、 目的服 务端口、 服 务协议； 从所述五元组信息中提取目的IP地址、 目的服 务端口、 服 务协议； 将所述目的IP地址、 目的服 务端口、 服 务协议确定为网络信息资产。 11.一种弱口令 探测装置， 其特 征在于， 所述装置包括： 网络信息资产探测模块， 用于基于资产探测指示信息， 探测网络信 息资产； 所述资产探 测指示信息包括网络协 议， 和/或， 访问控制列表ACL配置信息和路由配置信息， 和/或， 防火 墙的网络地址转换NAT配置信息， 和/或， 流量分析； 所述网络信息 资产包括互联网协 议IP地 址、 端口、 应用服 务；权　利　要　求　书 2/3 页 3 CN 115412302 A 3